Investeren in een veilig MKB
Het mag inmiddels duidelijk zijn dat alles wat met internet te maken heeft levensgevaarlijk is. Als je de media mag geloven althans. Neem bijvoorbeeld het recente lek in Internet Explorer of de aankondiging van het stopzetten van de ondersteuning van Windows XP. Hoewel deze berichten vaak een sensationeel karakter hebben, en dus met een voorzichtige korrel zout genomen moeten worden, zit er wel degelijk een kern van waarheid in.
Het gebruik van internet groeit nog steeds en neemt een steeds belangrijkere rol in ons dagelijks leven in zowel privé als op de zaak. Omdat alles tegenwoordig om het delen van informatie draait, is offline werken geen optie meer en verandert een PC of laptop zonder internet al snel in een nutteloos apparaat. Dit geldt uiteraard ook voor tablets en smartphones, zonder internet zouden deze apparaten nooit zo succesvol zijn geworden. Altijd online zijn is dus ‘common good’ geworden.
Hoewel het prettig is om altijd toegang te hebben tot je digitale informatie brengt dit ook de nodige risico’s met zich mee. Er ligt flink wat ellende op de loer; malware, hackers, exploits, phishing, identity theft zijn termen die je regelmatig tegenkomt als het om IT-beveiliging gaat.
Toch is het vaak onduidelijk wat deze bedreigingen nu concreet inhouden en wat je er tegen kunt doen. Dat laatste is niet voor iedereen even belangrijk. Binnen grote bedrijven en organisaties neemt de IT-afdeling deze verantwoordelijkheid op zich en wordt je als medewerker hooguit gevraagd om je te houden aan het IT-beleid (policy). Voor particulieren geldt wel dat er aandacht besteed moet worden aan de beveiliging van de systemen die thuis draaien. Gelukkig bevatten de meest diensten en software al maatregelen om de belangrijkste bedreigingen te kunnen weerstaan. Zo bevat Windows standaard een firewall en malwaredetectie (Security Essentials) en diensten als Hotmail en Gmail vangen automatisch spam af. Ook zijn de gevolgen voor particulieren over het algemeen wat minder pijnlijk als het om dataverlies of een malware infectie gaat.
Binnen het MKB is het een ander verhaal. Vaak krijgt diegene die het meest verstand van computers heeft de rol van ‘IT-er’ naast de reguliere werkzaamheden toebedeeld. Hoewel dit niet per se een slechte ontwikkeling is kan het gebrek aan specialistische kennis grote gevolgen hebben. De getroffen veiligheidsmaatregelen moeten wel in verhouding zijn met het risico dat je als bedrijf loopt. Zodra er sprake is van een computernetwerk met een (mail)server is het bijvoorbeeld niet verstandig om oplossingen te implementeren die eigenlijk bedoeld zijn voor particulier gebruik. Of erger nog, geen oplossing te hebben tegen bepaalde bedreigingen.
Wanneer je als klein bedrijf getroffen wordt door malware, dataverlies of gegevensdiefstal kan dit fataal zijn voor het voortbestaan van de organisatie. Zo is het aannemelijk dat de nodige kennis of ‘awareness’ niet bij ieder bedrijf aanwezig is.
Is er bijvoorbeeld gedacht aan het maken van backups? En zo ja, op welke manier? Wanneer de inhoud van die server eens in de zoveel tijd op een USB drive wordt gezet die vervolgens in een bureaulade verdwijnt is dat bij brand of waterschade natuurlijk tevergeefs.
Daarnaast is budget ook een belangrijke factor. In tijden van crisis wordt er nu eenmaal bespaard, zo ook op IT-gerelateerde zaken. Verlengt men toch de betaalde zakelijke licentie, of kiest men voor een gratis (consumenten) antimalwareoplossing met de nodige risico’s van dien?
Het MKB is een kwetsbare groep tussen het particuliere en grootzakelijke circuit in. De oplossingen die voor grote bedrijven bedoeld zijn bevatten te veel opties en mogelijkheden voor een klein bedrijf. Ook zijn deze oplossingen vaak te duur voor kleine bedrijven.
De oplossingen die voor particulieren bestemd zijn schieten echter juist te kort op dat gebied.
Het MKB moet dus op zoek naar ‘IT Security op maat’. Hoewel het kennisniveau binnen het bedrijf zelf wellicht niet voldoende, is zijn er gelukkig genoeg partijen waar je als bedrijf terecht kunt voor advies. Nederland kent veel automatiseringsbedrijven die zich specialiseren in het bedienen van MKB-bedrijven. Het is absoluut de moeite waard om één van deze partijen in de arm te nemen om verzekerd te zijn van een veilige IT-omgeving.
Mocht dat laatste nu geen optie zijn dan is het belangrijk om het eigen netwerk eens goed te bekijken en in kaart te brengen waar de risico’s liggen. Ook wel risico-analyse genoemd.
1) Begin bij het netwerk zelf (de PC’s, laptops en servers). Is het besturingssysteem up-to-date en wordt het nog ondersteund? Welke applicaties zijn er actief op het systeem en welke risico’s zijn daar aan verbonden (denk bijvoorbeeld aan Dropbox en privacy)? Is het systeem voorzien van een goede antimalware oplossing? Is er cruciale data aanwezig op het systeem en wordt deze gebackupt?
2) Vervolgens moet er aandacht zijn voor bedreigingen van buitenaf (het internet). Is er een firewall aanwezig? Via welke poorten is mijn netwerk benaderbaar en is dat echt nodig? Wat doe ik tegen spam? En hoe voorkom ik dat medewerkers via phishing websites toch malware binnenhalen?
3) Tot slot is er de menselijke factor. Het opstellen van een IT-beleid kan een handvat bieden aan medewerkers en zodoende risicovol gedrag inperken. Als het implementeren van een IT-beleid te overdreven is, dan is het raadzaam om medewerkers op zijn minst bewust te maken van de meest voorkomende gevaren.
Een klein bedrijf wil zich vooral bezig houden met succesvol zaken doen. Het is daarom belangrijk dat je kunt vertrouwen op je IT-infrastructuur. Daarom is het raadzaam om één keer goed te investeren in kennis en goede oplossingen zodat het geen terugkerend probleem wordt. Een stabiele en veilige IT-omgeving zorgt er immers voor dat men zich volledig kan richten op de business zelf en wordt het internet vooral een bondgenoot in plaats van een bron van zorgen.
Jeroen Hentschke, Channel Sales Engineer Norman Data Defense Systems
